主な目的 信頼性 可用性の高いネットワークを構築したい スパニングツリーを使わずに Layer2 の冗長をしたい クライアント認証を行いたい 概要 この構成例では コアスイッチに AT-x900-24XT 2 台を VCS 化して採用し 拡張性と信頼性を確保しています さらに 各フロアの規模に応じて ディストリビューションスイッチとして x600-24ts 2 台の VCS を Layer2 モードで設置 またはインテリジェントエッジスイッチを設置するなど 必要な箇所に適切な機器を採用しています クライアント認証には x900 または x600 のそれぞれの VCS グループ上で Tri-Auth( トライ - オウス ) を使用し 単一のポート上で 802.1X/Web/MAC アドレスベース認証の 3 方式を同時に利用できるようにし 様々なクライアントに対して認証を提供しています また x600-vcs では ループガード機能も併用し ネットワークループ発生時の影響を最小限に留めるように対策することで ネットワーク全体の安定性を高めています 1
構築のポイント VLAN200 をサーバーセグメントとして使用し SNMP と Syslog NTP などによるネットワーク管理を行います また クライアント認証用として RADISU サーバー及び DHP サーバーを設置しています VLAN 200 SNMP Syslog NTP RADIUS DHCP サーバー コアスイッチとサーバー収容スイッチである x600-24ts_3 との間では RIP を使用して経路情報を自動的に交換させ 経路管理の工数を削減しています 1.0.1 1.0.24 x600-24ts_3 コアスイッチには拡張性の高い x900-24xt を 2 台使用した VCS を採用 可用性と拡張性を確保します x900-24xt_1 1.0.13 2.0.13 x900-24xt_2 x900-vcs 1.0.1 1.0.2 1.0.3 2.0.1 2.0.2 2.0.3 ディストリビューションスイッチには x600-24ts 2 台の VCS 構成を Layer2 で動作させています x900-vcs と同様にクライアント認証を 802.1X/Web/MAC アドレスベースの各方式を単一ポート上で併用する Tri-Auth を行いつつ ユーザー毎に動的に VLAN を割り当てるマルチプルダイナミック VLAN も併用しています また ネットワークループ対策のループガード機能も使用 ネットワークの安定性を高めています GS924M_2/_3 と直接接続しているリンクアグリゲーションポートでは 802.1X/Web/MAC アドレスベース認証を同時に併用する Tri- Auth 機能を使用し 認証機能を持たないエッジスイッチに対してもクライアントセキュリティを確保します また このリンクアグリゲーショングループ配下では認証済みのクライアントが自由に移動できるようにローミング認証機能を有効化しています 1.0.24 2.0.24 GS924M_2 GS924M_3 x600-24ts_1 1.0.1 2.0.1 x600-24ts_2 VLAN 10 VLAN 20 VLAN 30 VLAN 10 VLAN 20 VLAN 30 GS924M_1 VLAN 10 VLAN 20 VLAN 30 すべてのクライアントは RADIUS サーバとの間で認証を行い 認証成功時には RADIUS サーバー上に設定されている各認証用 ID ごとの VLAN-ID を割り当てられ r ます その後 サーバーセグメントに配置しているで DHCP サーバーを使用して 配下のクライアントに対して IP アドレスを自動的に割り当てます ルーティングポイントは x900-vcs に集約し ディストリビューション及びエッジスイッチではスイッチングのみ行います 2
x900-vcs 設定サンプルその 1 ホスト名の設定及び SNMP Syslog の設定を行います SNMP を使用する事で ネットワークの効率的な管理が可能となり 安定した IT インフラの実現に役立ちます また NTP で時刻を自動的に同期させるためにタイムゾーンを指定します Tri-Auth に使用する RADIUS サーバーを設定します radius-server host コマンドで使用する RAIDUS サーバーのリストに IP アドレスを登録し その後 aaa group server radius コマンドで認証用のサーバーグループを作成し サーバーリストに登録済みの IP アドレスからサーバーグループで使用する IP アドレスを追加します 右例の triauth と記載されているのがサーバーグループの名称です Tri-Auth で使用する 802.1X/Web/MAC アドレスベースの各認証方式を有効化し 作成済みの RADIUS サーバーグループ名をそれぞれ指定します hostname x900-vcs log host 200.1.1.10 log host 200.1.1.10 level debugging clock timezone JST plus 9:00 snmp-server snmp-server enable trap auth nsm rmon snmp-server community private rw snmp-server host 200.1.1.10 version 2c private radius-server host 200.1.1.100 key xxxxxx aaa group server radius tri-auth server 200.1.1.100 aaa authentication dot1x default group tri-auth aaa authentication auth-mac default group tri-auth aaa authentication auth-web default group tri-auth VCS 設定を行います Ver5.3.3 から VCS グループメンバーが共通で使用するバーチャル MAC アドレスをサポートしました VCS の MAC アドレスが変更されず 周囲の機器が保持する FDB の書き換えが必要ありませんので スムーズな Failover を実現します なお バーチャル MAC アドレス設定は VCS グループの再起動後 有効になります stack virtual-mac stack virtual-chassis-id 1 stack resiliencylink eth0 stack 1 priority 1 注 VCS 構成時は VCS の制御パケットが送信キュー 7 を使うため その他のパケットを送信キュー 7 に割り当てないでください 具体的には mls qos map cos-queue, mls qos map mark-dscp, mls qos map policed-dscp, mls qos queue, set queue の各コマンドで送信キュー 7 を指定しないようにしてください 特に cos-queue マップの初期設定では CoS 値 7 が送信キュー 7 にマップされているので VCS 構成時は送信キュー 7 を使わないよう mls qos map cos-queue コマンドでマッピングを変更してください 3
x900-vcs 設定サンプルその 2 初期値では RSTP が有効です 本構成例では RSTP は使用していませんので 無効化します no spanning-tree rstp enable x900 シリーズでは CPU 宛の通信の負荷が高い場合でも各プロトコルの制御パケットを優先的に処理するための CPP (Control Plane Prioritization) 設定を行うことを推奨します QoS を有効にし RIP の制御パケットを分類するためのアクセスリストを作成します mls qos enable access-list 3000 permit udp any any eq 520 作成したアクセスリストをクラスマップに関連付けます なお ARP パケットはクラスマップのオプションである マッチ条件で指定します 通常は Tag 付と Tag なしを定義します class-map RIP match access-group 3000 class-map TaggedARP match eth-format ethii-tagged protocol 0806 class-map UntaggedARP match eth-format ethii-untagged protocol 0806 作成したクラスマップを束ねるポリシーマップを作成し クラスマップを関連付けます ここでは コア - サーバーセグメント間で必要となると RIP 及び Tag なし ARP パケットについて それぞれ必要になるキューを指定するためのポリシーとして CtrlRIP というポリシーを作成しています 作成したクラスマップを束ねるポリシーマップを作成し クラスマップを関連付けます ここでは クライアント側で必要となる Tag 付 ARP パケットだけを必要なキューに設定するポリシーとして TaggedARP というポリシーを作成しています 必要な VLAN を作成します ここでは クライアントが所属する VLAN10/20/30 と機器管理用ネットワークとして使用する VLAN50 コア - サーバースイッチ間のリンクとなる VLAN100 の 5 つの VLAN を作成します policy-map CtrlRIP class RIP set queue 6 class UntaggedARP set queue 6 policy-map TaggedARP class TaggedARP set queue 6 vlan database vlan 10,20,30,50,100 state enable 4
x900-vcs 設定サンプルその 3 配下の x600-vcs 及び GS924M_2/_3 との接続リンクとなるリンクアグリゲーショングループとして static-channelgroup 1-3 を作成します これらのリンクアグリゲーショングループはすべて VLAN10/20/30/50 のタグポートとします interface port1.0.1 mode trunk trunk allowed vlan add 10,20,30,50 trunk native vlan none static-channel-group 1 interface port2.0.1 mode trunk trunk allowed vlan add 10,20,30,50 trunk native vlan none static-channel-group 1 interface port1.0.2 mode trunk trunk allowed vlan add 10,20,30,50 trunk native vlan none static-channel-group 2 interface port2.0.2 mode trunk trunk allowed vlan add 10,20,30,50 trunk native vlan none static-channel-group 2 5
x900-vcs 設定サンプルその 4 配下の x600-vcs 及び GS924M_2/_3 との接続リンクとなるリンクアグリゲーショングループとして static-channelgroup 1-3 を作成します これらのリンクアグリゲーショングループはすべて VLAN10/20/30/50 のタグポートとします interface port1.0.3 mode trunk trunk allowed vlan add 10,20,30,50 trunk native vlan none static-channel-group 3 interface port2.0.3 mode trunk trunk allowed vlan add 10,20,30,50 trunk native vlan none static-channel-group 3 サーバースイッチとの接続リンクとなるリンクアグリゲーショングループとして static-channel-group 4 を作成します このリンクアグリゲーショングループは VLAN100 に所属するタグなしポートとします interface port1.0.13 mode access access vlan 100 static-channel-group 4 interface port2.0.13 mode access access vlan 100 static-channel-group 4 6
x900-vcs 設定サンプルその 5 sa インターフェースは staticchannel-group を作成した時に自動的に作成されます sa1 インターフェースには 事前に定義しておいた CPP 用のタグ付き ARP パケット優先制御用のサービスポリシーを関連付けます sa2-3 インターフェースでは GS924M_2/_3 配下クライアントに対して Tri-Auth を行うため 3 つの認証方式を有効化します x900-vcs 側から見て 単一のポート配下に存在する複数のクライアントを個別に認証するため 動作モードは multi-supplicant を指定します また 認証済みのクライアントが GS924M_2/_3 のポートを移動するなど sa2-3 インターフェースの配下にいるかぎり 移動後に再認証を受けないように auth roaming コマンドでローミング認証を有効にします sa4 インターフェースには 事前に定義しておいた CPP 用の RIP パケット優先制御用のサービスポリシーを関連付けます 各 VLAN インターフェースに IP アドレスを設定します VLAN10/20/30 のインターフェースでは DHCP リクエストを受診することがあるため これらのリクエストパケットを DHCP サーバーに転送するための DHCP リレー設定を行います 本例では DHCP サーバーは VLAN200 に設置されています interface sa1 mode trunk trunk allowed vlan add 10,20,30,50 trunk native vlan none service-policy input TaggedARP interface sa2-3 mode trunk trunk allowed vlan add 10,20,30,50 trunk native vlan none service-policy input TaggedARP auth-mac enable auth-web enable dot1x port-control auto auth host-mode multi-supplicant auth roaming enable interface sa4 mode access access vlan 100 service-policy input CtrlRIP interface vlan10 ip address 192.168.1.254/24 ip dhcp-relay server-address 200.1.1.200 interface vlan20 ip address 192.168.2.254/24 ip dhcp-relay server-address 200.1.1.200 interface vlan30 ip address 192.168.3.254/24 ip dhcp-relay server-address 200.1.1.200 7
x900-vcs 設定サンプルその 6 各 VLAN に IP アドレスを設定します interface vlan50 ip address 50.1.1.1/24 interface vlan100 ip address 100.1.1.1/24 VLAN100 で RIP を有効にします VLAN100 以外のインターフェース経路も RIP で通知させるため redistributed connected コマンドを設定します また デフォルトルートとして x600-24ts_3 VLAN100 インターフェースの IP アドレスを設定します router rip network 100.1.1.0/24 redistribute connected ip route 0.0.0.0/0 100.1.1.2 NTP サーバーの IP アドレスを指定し 機器内部で保持する時刻情報が自動的に同期するようにしています ntp server 200.1.1.10 end 8
GS924M_2/_3 設定サンプル ホスト名の設定を行います ホスト名は他の機器と重複しない文字列を指定してください VLAN の作成とポートのアサインを行います 認証クライアントが接続する VLAN10/20/30 の 3VLAN にはタグなしポートを用意し x900-vcs との接続リンクとなる 2 ポートは VLAN10/20/30/50 に所属するタグ付きポートとします 最後に SNMP などの機器管理に使用するため VLAN50 に IP アドレスを設定し デフォルトゲートウェイには x900-vcs の VLAN50 インターフェース IP アドレスを指定します set system name=gs924m_2 create vlan=vlan10 vid=10 add vlan=vlan10 port=1-8 frame=untagged add vlan=vlan50 port=23-24 frame=tagged create vlan=vlan20 vid=20 add vlan=vlan20 port=9-18 frame=untagged add vlan=vlan50 port=23-24 frame=tagged create vlan=vlan30 vid=30 add vlan=vlan30 port=19-22 frame=untagged add vlan=vlan50 port=23-24 frame=tagged create vlan=vlan50 vid=50 add vlan=vlan50 port=23-24 frame=tagged delete vlan=default port=23-24 add ip interface=vlan50 ipaddress=50.1.1.2 mask=255.255.255.0 gateway=50.1.1.1 802.1X 認証で使用する EAP フレームを透過させる設定を行います 初期値では EAP は透過せずに破棄されます また リンクアグリゲーショングループ所属ポートでは タグなしパケットを受信時に破棄させるため acceptable オプションで vlan( タグ付きパケット ) を指定します enable switch eapforwarding set switch port=23 acceptable=vlan set switch port=24 acceptable=vlan x900-vcs との接続リンクとなる 2 つのタグ付きポートをリンクアグリゲーショングループとします ホスト名の設定及び SNMP Syslog の設定を行います SNMP を使用する事で ネットワークの効率的な管理が可能となり 安定した IT インフラの実現に役立ちます また NTP で時刻を自動的に同期させるためにタイムゾーンを指定します create switch trunk=uplink port=23-24 speed=1000m enable ntp add ntp peer= 200.1.1.10 enable log output=syslog set log output=syslog server= 200.1.1.10 facility=local0 enable snmp enable snmp trap=all enable interface=all linktrap create snmp community=public access=write open=no trap=all add snmp community=public traphost= 200.1.1.10 manager= 200.1.1.10 enable snmp community=public enable snmp community=public trap 9
x600-vcs 設定サンプルその 1 ホスト名の設定及び SNMP Syslog の設定を行います SNMP を使用する事で ネットワークの効率的な管理が可能となり 安定した IT インフラの実現に役立ちます また NTP で時刻を自動的に同期させるためにタイムゾーンを指定します hostname x600-vcs log host 200.1.1.10 log host 200.1.1.10 level debugging clock timezone JST plus 9:00 snmp-server snmp-server enable trap auth nsm rmon snmp-server community private rw snmp-server host 200.1.1.10 version 2c private Tri-Auth に使用する RADIUS サーバーを設定します radius-server host コマンドで使用する RAIDUS サーバーのリストに IP アドレスを登録し その後 aaa group server radius コマンドで認証用のサーバーグループを作成し サーバーリストに登録済みの IP アドレスからサーバーグループで使用する IP アドレスを追加します 右例の triauth と記載されているのがサーバーグループの名称です radius-server host 200.1.1.100 key xxxxxx aaa group server radius tri-auth server 200.1.1.100 Tri-Auth で使用する 802.1X/Web/MAC アドレスベースの各認証方式を有効化し 作成済みの RADIUS サーバーグループ名をそれぞれ指定します aaa authentication dot1x default group tri-auth aaa authentication auth-mac default group tri-auth aaa authentication auth-web default group tri-auth VCS 設定を行います 本例では x600- VCS は Layer2 で動作させていますので バーチャル MAC アドレスは使用しません レジリエンシーリンクの指定 及びスタックプライオリティの設定のみ行います stack resiliencylink vlan4001 stack 1 priority 1 注 VCS 構成時は VCS の制御パケットが送信キュー 7 を使うため その他のパケットを送信キュー 7 に割り当てないでください 具体的には mls qos map cos-queue, mls qos map mark-dscp, mls qos map policed-dscp, mls qos queue, set queue の各コマンドで送信キュー 7 を指定しないようにしてください 特に cos-queue マップの初期設定では CoS 値 7 が送信キュー 7 にマップされているので VCS 構成時は送信キュー 7 を使わないよう mls qos map cos-queue コマンドでマッピングを変更してください 10
x600-vcs 設定サンプルその 2 LDF(Loop Detection Frame) によるループガード機能を有効にします loop-protection loop-detect 初期値では RSTP が有効です 本構成例では RSTP は使用していませんので 無効化します no spanning-tree rstp enable LDF 使用時にかかる負荷を軽減するため CPU で処理される LDF が使用できる帯域を制限します QoS を有効にし LDF を分類するためのアクセスリストを作成した後 作成したアクセスリストをクラスマップに関連付けます 作成したクラスマップを束ねるポリシーマップを作成し クラスマップを関連付け 最後に使用可能な帯域を 512Kbps に制限するためのポリサーを設定します mls qos enable access-list 4000 permit any 0000.f427.7101 0000.0000.0000 class-map ldf_acl match access-group 4000 policy-map ldf_map class ldf_acl police single-rate 512 1024 2048 action drop-red 必要な VLAN を作成します vlan database vlan 10,20,30,50 state enable 配下の GS924M_1 との接続リンクとなるリンクアグリゲーショングループとして static-channel-group 1 を作成します これらのリンクアグリゲーショングループは VLAN50 のタグなしポートとします interface port1.0.1 mode access access vlan 50 static-channel-group 1 interface port2.0.1 mode access access vlan 50 static-channel-group 1 11
x600-vcs 設定サンプルその 3 VCS のダブルマスター障害を回避するための監視ポートであるレジリエンシーリンクを指定します VCS メンバーそれぞれ 1 ポートを指定し VCS マスターからのヘルスチェックフレームをスレーブメンバーが受診できるようにします interface port1.0.23 resiliencylink interface port2.0.23 resiliencylink 上位の x900-vcs との接続リンクとなるリンクアグリゲーショングループとして static-channel-group 2 を作成します これらのリンクアグリゲーショングループは VLAN10/20/30/50 のタグポートとします interface port1.0.24 mode trunk trunk allowed vlan add 10,20,30,50 swithport trunk native vlan none static-channel-group 2 interface port2.0.24 mode trunk trunk allowed vlan add 10,20,30,50 swithport trunk native vlan none static-channel-group 2 12
x600-vcs 設定サンプルその 4 sa インターフェースは staticchannel-group を作成した時に自動的に作成されます sa1 インターフェースでは LDF によるループガード機能を使用しますが 同じループガード機能の一つである MAC アドレススラッシングプロテクションとの同時利用ができないため thrash-limiting action none コマンドで同機能を無効化します LDF によるループ検出時のアクションとして link-down を指定しておきます また 事前に作成した LDF 使用帯域を制限するサービスポリシー ( ポリシーマップ ) ldf_map を sa1 インターフェースに適用します interface sa1 thrash-limiting action none loop-protection action link-down mode access access vlan 50 service-policy input ldf_map sa1 インターフェースでは GS924M_1 配下クライアントに対して Tri-Auth を行うため 3 つの認証方式を有効化します x600-vcs 側から見て 単一のポート配下に存在する複数のクライアントを個別に認証するため 動作モードは multi-supplicant を指定します また dynamic-vlan-creation を multi とすることで 認証済みクライアント毎に RADIUS サーバーから割り当てられた VLAN-ID を適用することができます (multiple dynamic vlan) auth-mac enable auth-web enable dot1x port-control auto auth host-mode multi-supplicant auth dynamic-vlan-creation type multi sa インターフェースは staticchannel-group を作成した時に自動的に作成されます vlan50 インターフェースに IP アドレスを設定します この IP アドレスは主に SNMP などの機器管理に使用されます 本例では x600-vcs はルーティングを行いませんが 機器自身が送信する SNMP などのパケットの宛先として デフォルトルートを設定します ゲートウェイアドレスは x900-vcs の vlan50 インターフェースの IP アドレスです interface sa2 mode trunk trunk allowed vlan add 10,20,30,50 swithport trunk native vlan none interface vlan50 ip address 50.1.1.2/24 ip route 0.0.0.0/0 50.1.1.1 NTP サーバーの IP アドレスを指定し 機器内部で保持する時刻情報が自動的に同期するようにしています ntp server 200.1.1.10 Copyright (C) Allied Telesis K.K. all end rights reserved. 13
GS924M_1 設定サンプル ホスト名の設定を行います ホスト名は他の機器と重複しない文字列を指定してください VLAN の作成とポートのアサインを行います VLAN50 を作成し すべてのポートをタグなしポートとしてアサインします また SNMP などの機器管理に使用するため VLAN50 に IP アドレスを設定し デフォルトゲートウェイには x900-vcs の VLAN50 インターフェース IP アドレスを指定します set system name=gs924m_1 create vlan=vlan50 vid=50 add vlan=vlan50 port=all frame=untagged add ip interface=vlan50 ipaddress=50.1.1.3 mask=255.255.255.0 gateway=50.1.1.1 802.1X 認証で使用する EAP フレームを透過させる設定を行います 初期値では EAP は透過せずに破棄されます enable switch eapforwarding x600-vcs との接続リンクとなる 2 つのタグ付きポートをリンクアグリゲーショングループとします create switch trunk=uplink port=23-24 speed=1000m ホスト名の設定及び SNMP Syslog の設定を行います SNMP を使用する事で ネットワークの効率的な管理が可能となり 安定した IT インフラの実現に役立ちます また NTP で時刻を自動的に同期させるためにタイムゾーンを指定します enable ntp add ntp peer= 200.1.1.10 enable log output=syslog set log output=syslog server= 200.1.1.10 facility=local0 enable snmp enable snmp trap=all enable interface=all linktrap create snmp community=public access=write open=no trap=all add snmp community=public traphost= 200.1.1.10 manager= 200.1.1.10 enable snmp community=public enable snmp community=public trap 14
0120-860442 http://www.allied-telesis.co.jp/ info@allied-telesis.co.jp support@allied-telesis.co.jp www.allied-telesis.co.jp